將 Shield 需的許可 (API 動作) - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 Shield 需的許可 (API 動作)

當您設定存取控制並撰寫可連接到 IAM 身分 (以身分為基礎的政策) 的許可政策,請使用本節中的資訊做為指南。對每個AWS ShieldAPI 操作時,您需要知道可以授予執行動作許可的相應動作,以及AWS資源,您可以將這些許可授予這些許可。您在政策的 Action 欄位中指定動作,然後在政策的 Resource 欄位中指定資源值。

注意

若要指定動作,請使用後接 API 操作名稱的 shield: 字首 (例如,shield:CreateProtection)。

下列清單僅包含需要明確資源許可的動作。

您可以在 AWS Shield 政策中使用AWS條件金鑰來表達條件。如需完整的清單AWS鍵,請參閱條件的可用金鑰中的IAM User Guide

我們會針對每個動作列出動作和相關的政策資源規格。

AssociateDRTLogBucket

API 動作shield:AssociateDRTLogBuckets3:GetBucketPolicys3:PutBucketPolicy

資源arn:aws:s3:::bucket_name/optional_object_key

AssociateDrtRole

API 動作shield:AssociateDrtRoleiam:GetRoleiam:ListAttachedRolePoliciesiam:PassRole

資源arn:aws:iam::account-id:role/role-id

CreateProtection

API 動作shield:CreateProtection

資源arn:aws:shield::account:protection/ID

DeleteProtection

API 動作shield:DeleteProtection

資源arn:aws:shield::account:protection/ID

DescribeAttack

API 動作shield:DescribeAttack

資源arn:aws:shield::account:attack/ID

DescribeDrtAccess

API 動作shield:DescribeDrtAccesss3:GetBucketPolicy

資源arn:aws:s3:::bucket_name/optional_object_key

DescribeProtection

API 動作shield:DescribeProtection

資源arn:aws:shield::account:protection/ID

DisassociateDRTLogBucket

API 動作shield:DisassociateDRTLogBuckets3:DeleteBucketPolicys3:GetBucketPolicys3:PutBucketPolicy

資源arn:aws:s3:::bucket_name/optional_object_key

如需 Shield 動作和資源的詳細資訊,請參閱AWS Identity and Access Management指南主題定義的動作AWS Shield

如需 Shield 可用 API 動作的完整清單,請參閱AWS Shield AdvancedAPI 參考